Oggi il fattore umano è la principale vulnerabilità di un piano di cyber risk management. Gli attaccanti utilizzano sempre più spesso tecniche di social engineering e mail di phishing per guadagnarsi un primo accesso ai sistemi aziendali. Il phishing è sempre più sofisticato e quindi in grado di raggirare molte persone, ed è oggi utilizzato per sottrarre credenziali e quindi poter accedere a sistemi e dati, oltre che come veicolo per infiltrare malware, se ad esempio l’utente scarica un allegato o clicca su un sito web infetto. Secondo il Data Breach Investigations Report di Verizon, il phishing è in forte crescita: era compreso nel 21% degli attacchi analizzati per il 2016, rispetto all’8% dell’anno precedente.
Diventa quindi necessario educare gli utenti su questi temi, perché per individuare una campagna di phishing, non basta un filtro. Serve che le singole persone siano informate e sospettose, e che ci sia un processo per segnalare un eventuale attacco. Come farlo? non più, soltanto, con tradizionali attività d’aula: servono attività che simulino il comportamento degli attaccanti, per mettere le persone di fronte alla realtà dei propri comportamenti scorretti e a rischio.
Raoul Brenna, Information Security & Infrastructures Practice Manager presso CEFRIEL – Politecnico di Milano, presenta durante il Webinar “Phishing simulato e Security Awareness Concreta” tenuto lo scorso 6 luglio 2017, come impostare un’adeguata strategia di mitigazione del rischio legato ai comportamenti delle persone, tramite percorsi di training e awareness mirati. L’importante è che i programmi di Security Awareness siano efficaci, ossia,
- abbiano un reale impatto sulle attitudini delle persone,
- determinino un effettivo aumento del livello di sicurezza,
- creino una reale consapevolezza sui rischi.
“Dal 2011 si parla di phishing associato ad ATP e data breach – ha spiegato Raoul Brenna – Le persone ricevono l’“esca”, si compromette il browser, la postazione, si cedono credenziali agli attaccanti. La cronaca ha messo in evidenza che la postazione diventa una testa di ponte per esplorare l’infrastruttura interna, e passare quindi all’accesso ad altri sistemi, informazioni, e alla diffusione di malware. E non dimentichiamoci che oggi il phishing non viaggia più solo su email, ma anche su WhatsApp, o su Google Docs”.
Nel corso del Webinar sono affrontati i seguenti temi:
- L’evoluzione delle minacce mirate (APT) e il ruolo del “phishing” negli attacchi moderni.
- Come impostare una misurazione del rischio abilitato da tecniche di Social Engineering.
- Quali sono le possibili conseguenze legate alla sottovalutazione della sicurezza del fattore umano.
- Come utilizzare i risultati di un “Risk Assessment” sulle persone per creare percorsi di Security Awareness efficaci.
- I possibili benefici rispetto alla formulazione di una strategia di governo della sicurezza informatica che unifichi gli aspetti tecnologici e quelli legati alle persone.
Visualizza il video del webinar: